Takmičenje hakera Pwn2Own: pobednik iskoristio ranjivost IE 8 na Windows 7
Vesti, 05.04.2010, 11:57 AM
VANCOUVER, BC - Preskakanjem niza anti-exploit prepreka, holandski haker Peter Vreugdenhil izvojevao je impresivnu pobedu na takmičenju hakera CanSecWest Pwn2Own, hakujući kompletno 'patch'-ovan Windows 7 64-bit, koristeći pri tom par ranjivosti Internet Explorer-a.
Vreugdenhil, nezavisni istraživač koji se specijalizovao u pronalaženju i iskorišćavanju 'client-side' ranjvosti, koristio je posebne trikove za premošćavanje ASLR (Address Space Layout Randomization) i DEP (Data Execution Prevention), dve značajne sigurnosne zaštite ugrađene u Windows platformu.
„Počeo sam premošćavanjem ALSR što mi je dalo osnovnu adresu jednog od modula učitanih u IE. Koristio sam to saznanje i za premošćenje DEP,“ dodao je on.
Vreugdenhil , koji je osvojio novčanu nagradu od 10000 dolara i novi Windows kompjuter, rekao je da koristi 'fuzzing' tehnike kako bi pronašao ranjivosti softvera. „Posebno tragam za 'bug'-om u mojim 'fuzzing' logovima zato što ih mogu koristiti za premošćavanje ASLR,“ rekao je on.
Posle pronalaženja ranjivosti na IE8, Vreugdenhil je rekao da je mu trebalo oko dve nedelje za pisanje 'exploit'-a protiv odbrane ASLR+DEP.
Članovi Microsoft-ovog IE tima bili su svedoci Vreugdenhil-ovog 'eploit'-a. Predstavnik kompanije je izjavio da oni još uvek ne znaju detalje o ranjivosti ali da će pokrenuti proces bezbedonosnog odgovora onda kada se sa sakupe informacije od organizatora takmičenja.
TippingPoint Zero Day Initiative (ZDI), kompanija koja sponzoriše takmičenje hakera se nada da će svi podaci o propustima biti poslati proizvođačima koji su njima pogođeni.
Izvor: http://threatpost.com/en_us/blogs/hacker-exploits-ie8-windows-7-win-pwn2own-032410
---------
Vest preuzeta sa:
http://threatpost.com/

Izdvojeno
Bluetooth ranjivosti: Hakeri vas mogu prisluškivati preko vaših slušalica

Istraživači iz nemačke kompanije ERNW su na konferenciji o bezbednosti TROOPERS u Nemačkoj otkrili tri ozbiljne ranjivosti u čipovima popularnih ... Dalje
Kad korisnici sami instaliraju malver: dramatičan porast ClickFix napada

U poslednjih šest meseci zabeležen je dramatičan porast nove vrste sajber napada koji se ne oslanja na ranjivosti u softveru, već na ljudske slabo... Dalje
Microsoft najavio produžetak podrške za Windows 10 za godinu dana
.jpg)
Microsoft je konačno potvrdio ono što su mnogi priželjkivali - Windows 10 će i dalje dobijati bezbednosna ažuriranja (Extended Security Updates, ... Dalje
Napadi na WordPress sajtove: novi malver krade kartice i lozinke

Istraživači iz Wordfence-a otkrili su sofisticiranu kampanju usmerenu na WordPress sajtove. Na prvi pogled, lažni dodatak (plugin) nazvan „Wo... Dalje
Mocha Manakin: Novi napad koji počinje jednostavnim copy-paste trikom

U digitalnom svetu gde svaka sumnjiva poruka može otvoriti vrata za kompromitovanje sistema, pojavila se nova sajber pretnja, nazvana Mocha Manakin. ... Dalje
Pratite nas
Nagrade